Políticas de Segurança. Everson Santos Araujo

Transcrição

1 Políticas de Segurança Everson Santos Araujo

2 Política de Segurança Política de Segurança é um conjunto de diretrizes que definem formalmente as regras e os direitos dos funcionários e prestadores de serviços de uma organização, visando à proteção adequada dos ativos da informação através de técnicas de Segurança da Informação 2

3 Necessidade Assegurar que o esforço despendido em segurança traga os benefícios esperados Resguardar todos os ativos da organização 3

4 Análise de riscos Analisar os recursos que precisam ser protegidos De que esses recursos precisam ser protegidos Como proteger esses recursos 4

5 Recursos Hardware e Software Dados: Durante a execução, guardados on-line, arquivados off-line, backups Pessoas: Usuários, administradores, técnicos Documentações: Em programas, de hardware, do sistema Suprimentos: Papeis, formulários, discos 5

6 Proteção Acesso não autorizado a recursos ou informações Revelação de informações sem intenção ou autorização Negação de serviço 6

7 Objetivos Informar aos usuários as suas obrigações para a proteção e acesso à informação, de acordo com o nível de acesso de cada usuário Oferecer uma referência através da qual se possa adquirir, configurar e auditar sistemas de informação 7

8 Envolvidos no Planejamento O administrador de segurança O pessoal técnico de Tecnologia da Informação Os gerentes da organização Os representantes de grupos de usuários afetados pela política de segurança 8

9 Características Implementada através de procedimentos administrativos no sistema, publicação de guia de uso aceitável, ou qualquer outro meio apropriado Imposta com ferramentas de segurança, onde apropriado, e com sanções onde não seja tecnicamente viável Deve definir a responsabilidade dos usuários, administradores e gerentes 9

10 Componentes Guia de compra Política de Privacidade Política de Acesso e Autenticação Política de Responsabilidades Política de Manutenção e Documento de disponibilidade Política de Relatório de Violação Informação de Suporte 10

11 Flexibilidade Independente de hardware e softwares específicos Expectativas para existência de condições especiais 11

12 Conclusão A Política de Segurança deve existir para resguardar os direitos e deveres de cada um dos agentes que utilizam os recursos da organização, deve estar bem clara e ser aberta a todos os que precisarem conhecer as políticas da empresa 12

13 Implementando política de segurança

14 Introdução Apresentar a empresa e motivações para a implementação de uma política de segurança Apresentar medidas para valor da informação que será protegida 14

15 Proibições Definir restrições através de sistemas automáticos que permitam auditoria de suas funções Definir sanções a serem aplicadas nos casos em que não for possível a utilização de ferramentas ou nos casos em que a ferramenta não cumpra toda sua função 15

16 Sistemas para segurança Mecanismos de controle para acesso físico Identificação de usuário Autenticação Política de senhas Sistemas contra códigos maliciosos Anti-vírus Anti-spyware 16

17 Responsáveis pela segurança Definição de membros das equipes responsáveis pelos incidentes de segurança Garantia de continuidade do negócio 17

18 Bibliografia IETF - Site Security Handbook. Política de Segurança da USPnet. Política de Segurança da Informação do Ministério da Justiça. %20SI_MJ.pdf Bradesco. Segurança da Informação.

19 Trabalho 1. Defina uma pequena ou média empresa apontando algumas informações, tais como: Nome, Ramo de atuação, Quantidade de funcionários, Setores (Organograma básico), Quantidade de computadores, Quantidade de outros equipamentos de informática, Método de interconexão dos equipamentos, Existência de servidores e suas funções básicas 2. Escreva uma Política de Segurança para a empresa apresentada Entrega até o dia 22 de Maio às 23:59, valendo 50% da nota do segundo bimestre everson@famaitz.edu.br